【51CTO.com原创稿件】
自从8月28日以来,华住的股价就止不住地往下跌,截止到9月18日已经跌到了27.07,上个月28日还是34.03,跌幅高达20.45%。上月28日爆出的一条新闻,华住旗下酒店住户5亿条数据泄露,并被放在黑市叫卖…… 虽然华住今天宣布作案嫌疑人已被缉拿归案,且泄露数据并未成功交易。但并未通告用户更关心的另外两个问题: 此次数据泄露是怎么造成的? 事件发生后,华住用户的信息安全做了哪些措施? (图片来自百度地图) 1、一切都是“人”的原因 前几天有专家指出,华住信息泄露事故的因素是内部的“人”。这位专家名叫罗琦,是Ivanti安全专家、中国区首席架构师。他认为此次数据泄露可能有三种原因:员工故意泄露、员工无意泄露和员工权限过大。 1. 不排除内部人员出于利益的诱惑,或者对公司的仇视而故意泄漏数据或引入病毒。 2. 员工缺乏安全意识而导致的无意识行为。 3. 员工权限设置不合理造成的。 他解释说:传统的IT架构,安全方面都是多层防护,黑客若想从防火墙外侵入企业内部,是相当困难的一件事。所以内部存在的安全隐患往往是罪魁祸首。企业IT建设不能只关心对外安全防御,更要重视内部的安全管理。 而一些数据也印证了他的观点:Cybersecurity Insiders发布的报告显示,在网络安全事件中,90%的受访人表示来自内部的威胁更易发生。《财经》杂志报道显示,有80%的数据泄露是企业内鬼所为,黑客和其他方式仅占20%。那么华住的数据泄露到底是不是因为内部的“人”呢? 2、内部人士:不感觉意外 说起来,华住的数据泄露事故相当嘲讽。其旗下的盟广信息技术有限公司(简称盟广信息)创收来源是为其他酒店提供IT产品解决方案。去年4月,盟广信息一年时间就实现了营收过亿的目标。并且自称产品和服务得到了美高梅酒店集团、Club Med地中海俱乐部、雅高酒店集团、万达酒店及度假村等旗下高端奢华酒店的青睐。然而盟广信息的开发者对此次数据泄露事件似乎并不感觉意外。 在上海市吴中路699号的院子里,座落着一家外观朴实的全季酒店。在全季酒店大堂内的一扇玻璃门后,有一个不足100平方米的办公区域,这里就是盟广信息的办公地点。同样在这里办公的还有一个创业孵化基地。一楼的西北角加上二楼走廊的一小片区域构成了华住酒店IT部的办公区域。盟广信息创办于2014年,是华住的全资子公司,曾参与华住集团旗下酒店IT框架的搭建。华住IT系统的研发基本都在吴中路,虹桥路华住总部那边只有几个维护人员。而在这不足一百平的空间内,是怎么把5亿条用户数据泄露出去的呢? 3、不负责任的中心 华住酒店集团的数据存放于IDC数据中心。因与外网之间有阻隔,黑客很难直接攻击数据库。数据库的牢固并不能弥补规则和操作的不规范。仅在人员和管理方面,华住就有以下“三宗罪”。 一、没有管理规范 华住酒店集团内部对于数据管理和使用缺乏规范化。据了解,在信息泄露事件发生前,并没有制定详细的安全管理细则。 二、权限设置不合理 对于黑客一直惦记的住户信息,盟广似乎并不重视。理论上只有和数据开发与测试相关的人员才能拥有进出数据库的权限,进而接触到敏感数据源。可是实际上无关人员也可轻易地获取这些信息。掌握数据权限的人混杂在大平台里,很难保证数据安全。 三、员工操作随意 一些测试人员在测试前会导入真实的用户信息,但在测试结束后很少会主动删除。一旦泄露,真实用户信息也将跟着一起流出。 而数据泄密的直接原因是有人把数据库连接方式上传到了Github上,不到一周的时间即被黑客拖库。Github本身就是一个极不安全的平台,把数据库连接传上去,很容易让人联想到是内部员工的恶意行为。当然,这其中存在的问题有如下几条: 1. 数据库连接及公司代码被上传到Github,没有报警措施; 2. 数据库IP没有限制公司内访问,而是外网也可以访问; 3. 数据库的用户名是“root”,登录密码为“123456”。 很可能就是这些间接直接的问题导致了华住5亿条数据的泄露。 4、行业与制度 更令人担忧的是,几乎所有的酒店都存在相似的数据泄露风险。2017年,洲际酒店集团超过1000家酒店遭遇支付信息泄露;2016年,凯越集团全球250家酒店支付信息外泄;2015年,希尔顿与喜达屋支付处理系统遭黑客攻击;2013年,如家、汉庭等酒店被发现数据存储平台漏洞…… 大家好像对酒店的数据泄露新闻已经见怪不怪了,要不是这次的事件涉及信息达5亿条之巨,可能根本不会引起重视。酒店行业的信息本身就很精确,却又这么容易泄露。是什么样的原因造成这样一个“行业奇景”呢?原因可能有两点:犯错成本低和安全投资大。2015年,希尔顿酒店就信息泄露事件用70万美元(约合人民币500万元)达成庭外和解。(如果在中国,估计处罚力度更低。) 而且即使发生了数据泄露事件,很少会引起公众的关注。如果没被曝光,酒店几乎不会受到损失。综合处罚力度和事发概率,酒店为数据泄露承担的风险很小。而招聘一个高级安全工程师和信息安全专家,薪酬普遍在2~4万元/月之间。另外还需要其他的支出。这些预算在一个不以数据为中心的酒店行业是不可能的。所以如果没有后序的政策支持,酒店的数据泄露事件还会继续上演。
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
